在GRUB中启用check_signatures

Question

我正在尝试创建一个GRUB的新映像，它有一个嵌入式公钥文件来验证GRUB加载的所有文件。因此，我使用命令手动创建一个新的GRUB核心映像。

grub-mkimage --config='./grub.cfg' --compression='auto' --pubkey='./grub.key' --output='./core_custom.efi' --format='x86_64-efi' --prefix='(hd0,gpt2)/grub' --verbose ext2 fshelp part_gpt pbkdf2 crypto password_pbkdf2 pbkdf2_test

grub.cfg包含一个具有pbkdf2密码的超级用户(这就是为什么我包含了pbkdf2模块)，以防止操纵配置，从而不会加载密码保护。另外，我将变量寻呼机设置为1。

但是，在重新启动我的计算机并从新创建的GRUB映像引导之后，GRUB环境变量check_signatures没有被设置为强制执行(就像官方GRUB2 2手册中提到的那样)，当我在GRUB中输入list_trusted命令时，没有列出传递给GRUB命令的键，最后，verify_detached命令找不到公钥。

但是，GRUB命令的详细日志清楚地指出，键已被读取，当我在GRUB中手动加载该键时，一切都正常。

有关我安装的信息：

-ArchLinux

-GRUB 2.04

-EFI平台-> GRUB x86_64-efi

Answer 1

我也面临着同样的问题，经过几个小时的尝试和错误，我终于找到了答案。至少可以说，GRUB方面处理得不好，只是默默地失败了。文档似乎也没有帮助，我无法找到任何有用的具体错误。

解决方案很简单--有些模块必须预先加载。对于我来说，在amd64上使用GRUB2.04，它们是：

• 核查员
• gcry_sha256
• gcry_sha512
• gcry_dsa
• gcry_rsa

我得到的命令是：

grub-mkstandalone --verbose --format=x86_64-efi --output=grubsax64.efi --pubkey=grub.pub --modules="verifiers gcry_sha256 gcry_sha512 gcry_dsa gcry_rsa" boot/grub/grub.cfg=grub.cfg

这里的重要部分是--模=“.”.

我还试着使用grub.cfg中的insmod加载完全相同的模块，但这是行不通的，必须像上面所描述的那样完成。

从grub所产生的输出来看，这也适用于grub(grub在某些点上称为grub)，尽管我自己还没有测试过它：

grub-mkimage ... verifiers gcry_sha256 gcry_sha512 gcry_dsa gcry_rsa

构建GRUB映像/二进制文件，重新启动，输入命令行，您将注意到list_trusted现在产生输出。进一步的测试显示，签名检查现在正按照我的预期工作。

编辑04/23/21有关GRUB 2.06:

在GRUB2.06中，验证器从模块移到核心(参见此承诺)，即它不再是一个单独的模块。因此，上述命令也需要更改：

grub-mkstandalone --verbose --format=x86_64-efi --output=grubsax64.efi --pubkey=grub.pub --modules="gcry_sha256 gcry_sha512 gcry_dsa gcry_rsa" boot/grub/grub.cfg=grub.cfg
grub-mkimage ... gcry_sha256 gcry_sha512 gcry_dsa gcry_rsa